Khi mạng trở nên tinh vi hơn,dùng phương pháp tiếp cận nhiều module để thiết kế lớp truy nhập, lớp phân phối và lớp lõi mạng WAN và LAN.
Phương thức thiết kế theo module (Modular) được xem như là phương thức bổ sung cho phương thức thiết kế Hierarchical. Trong một hệ thống mạng qui mô lớn, nói chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt động và chức năng khác nhau. Việc thiết kế theo module cho một hạ tầng mạng lớn bằng việc tách biệt các vùng mạng với chức năng khác nhau, cũng đang là một phương pháp thiết kế được sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và các tổ chức lớn (gọi tắt là Enterprise).
Phương thức thiết kế Modular có thể được chia làm ba vùng chính, mỗi vùng được tạo bởi các module mạng nhỏ hơn:
– Enterprise campus: Bao gồm các module được yêu cầu để xây dựng một mạng campus đòi hỏi tính sẵn sàng cao, tính mềm dẻo và linh hoạt.
– Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tại phía rìa mạng của Enterprise. Vùng chức năng này sẽ lọc lưu lượng từ các module trong Enterprise edge và gửi chúng vào trong vùng Enterprise campus. Enterprise edge bao gồm tất cả các thành phần thiết bị để đảm bảo truyền thông hiệu quả và bảo mật giữa Enterprise campus với các hệ thống bên ngoài, các đối tác, mobile users, và mạng Internet.
– Service provider edge: Các module trong vùng này được triển khai bởi các nhà cung cấp dịch vụ, chứ không thuộc về Enterprise. Các module trong Service provider edge cho phép truyền thông với các mạng khác sử dụng các công nghệ WAN và các ISPs khác nhau.
Các thành phận mạng và chức năng trong kiến trúc chuyên biệt của Cisco:
+ Enterprise campus area
+ Enterprise data center module
+ Enterprise branch module
+ Enterprise teleworker module
Mô hình kiến trúc mạng doanh nghiệp đặc trưng của Cisco giữ nguyên các khái niệm phân phối, truy cập, các thành phần kết nối người sử dụng, dịch vụ WAN, và trạm máy chủ thông qua mạng trục tốc độ cao. Trong các mạng nhỏ hơn, các lớp có thể được tích hợp vào một lớp duy nhất, thậm chí là một thiết bị duy nhất, nhưng các chức năng vẫn không đổi.
Trong phạm vi cơ sở hạ tầng doanh nghiệp bao gồm trường lõi, xây dựng lớp phân phối và lớp truy cập, với một module trung tâm dữ liệu.Vùng biên kết nối với nhà cung cấp dịch vụ bao gồm đi Internet, thương mại điện tử, VPN, và các module WAN . Vùng biên của nhà cung cấp dịch vụ cung cấp dịch vụ đường đi Internet, mạng chuyển mạch thoại công cộng (PSTN), và dịch vụ WAN cho doanh nghiệp.
1. Enterprise Campus Module
Có các module phụ sau:
+ Campus core
+ Building Ditribution
+ Building Access
+ Server farm/data center
Trường lõi cung cấp một đường trục chuyển mạch tốc độ cao giữa các tòa nhà, các hệ thống máy chủ và các kết nối giữa các doanh nghiệp. Phân khúc này bao gồm kết nối dự phòng và hội tụ nhanh. Lớp phân phối chiu trách nhiệm chuyển mạch truy cập và kiểm soát truy cập, QoS, tuyến đường dự phòng, và cân bằng tải. Building access switches cho phép truy cập VLAN , PoE cho điện thoại IP và các điểm truy cập không dây, ngăn Broadcast và spanning tree.
Server farm/data center cho phép truy cập tốc độ cao và tính sẵn sàng cao (redundancy) đến các máy chủ. Các máy chủ doanh nghiệp như file and print servers, application servers , email servers, Dynamic Host Configuration Protocol (DHCP) servers, và Domain Name System (DNS) servers được đặt trong server farm. Cisco Unified CallManager servers được đặt trong server farm cho các mạng điện thoại IP. Máy chủ quản lý mạng được đặt tại server farm, nhưng liên kết từ máy chủ đến mỗi module trong một phạm vi doanh nghiệp phải cung cấp khả năng giám sát mạng, đăng nhập, và quản lý cấu hình.
Cơ sở hạ tầng trong phạm vi doanh nghiệp có thể áp dụng cho các địa điểm nhỏ, vừa và lớn. Trong hầu hết các trường hợp, phạm vi rộng lớn có thiết kế ba lớp với một hệ thống đấu nối ( lớp triển khai truy cập), lớp triển khai phân phối, và một lớp lõi. Phạm vi nhỏ hơn có thiết kế hai tầng với một thành phần hệ thống đấu nối (lớp truy cập Ethernet ) và một lõi chính (lớp lõi tích hợp và các lớp phân phối). Nó cũng cho phép cấu hình các chức năng phân phối trong một thiết bị đa truy cập để duy trì khả năng truyền tin nhanh trên trục chính. Mạng có kích thước vừa đôi khi thực hiện thiết kế ba lớp hoặc hai lớp tuỳ thuộc vào số lượng port, yêu cầu dịch vụ, quản lý, hiệu suất, và yêu cầu thích ứng.
2. Enterprise Edge Area
Gồm các module phụ sau:
• E-commerce networks and servers
• Internet connectivity and demilitarized zone (DMZ)
• VPN and remote access
• Enterprise WAN
2.1. E-Commerce Module
Submodule thương mại điện tử ở phần biên doanh nghiệp cung cấp mạng tính sẵn sàng cao cho dịch vụ kinh doanh. Nó sử dụng thiết kế thích nghi cao của các server farm module với đặc tính kết nối Internet của các module Internet.
Các thiết bị nằm trong submodule thương mại điện tử bao gồm:
• Máy chủ Web và ứng dụng
• Các máy chủ cơ sở dữ liệu: lưu trữ thông tin ứng dụng và thông tin giao dịch.
• Firewall and firewall routers:quản lí thông tin liên lạc giữa các user trong hệ thống.
• Hệ thống phòng chống xâm nhập mạng (IPS): Cung cấp chức năng giám sát các phân đoạn quan trọng trong các module mạng để phát hiện và ứng phó với các cuộc tấn công mạng.
• Multilayer switch with IPS modules: Cung cấp chức năng vận chuyển lưu lượng và tích hợp giám sát bảo mật.
2.2. Internet Connectivity Module
Internet Submodule ở vùng biên doanh nghiệp cung cấp các dịch vụ như máy chủ công cộng, email, và DNS. Kết nối với một hoặc một số nhà cung cấp dịch vụ Internet (ISP). Các thành phần của submodule này bao gồm:
• Firewall and firewall routers: Cung cấp chức năng bảo vệ tài nguyên mạng, lọc lưu lượng, và VPN đầu cuối cho người sử dụng và các điểm đầu xa .
• Internet edge routers: Cung cấp chức năng lọc cơ bản và kết nối đa lớp
• FTP và HTTP severs: Cung cấp các ứng dụng web giúp doanh nghiệp giao tiếp với thế giới bên ngoài thông qua Internet công cộng
• Máy chủ chuyển tiếp SMTP: Hoạt động chuyển tiếp giữa Internet và máy chủ mail nội bộ.
• Máy chủ DNS: phân giải tên miền và yêu cầu chuyển tiếp đi Internet
Hình thức kết nối đơn giản nhất là một đường kết nối trực tiếp duy nhất giữa doanh nghiệp và SP, như trong hình dưới đây. Nhược điểm của kết nối này là không có tính dự phòng khi có sự cố mạng.
Có thể sử dụng các giải pháp đa đường để dự phòng, hoặc chuyển đổi dự phòng cho dịch vụ Internet.
Hình sau cho thấy bốn tùy chọn multihoming Internet:
• Lựa chọn 1: Một bộ định tuyến đơn, hai liên kết đến một ISP
• Lựa chọn 2: Một bộ định tuyến đơn, hai liên kết đến hai ISP
• Lựa chọn 3: Hai thiết bị định tuyến, hai liên kết đến một ISP
• Lựa chọn 4: Hai thiết bị định tuyến, liên kết kép đến hai ISP
Các tùy chọn multihoming Internet
• Lựa chọn 1 :dự phòng đường kết nối, nhưng không dự phòng ISP và router nội vùng.
• Lựa chọn 2 :dự phòng đường kết nối và ISP nhưng không dự phòng router nội vùng khi xãy ra lỗi.
• Lựa chọn 3 :dự phòng các đường kết nối và router nội vùng, nhưng không dự phòng ISP khi ISP xạy ra sự cố.
• Lựa chọn 4 :cung cấp khả năng dự phòng đầy đủ các bộ định tuyến nội vùng,đường liên kết, và các ISP.
2.3. VPN/Remote Access
Module truy cập từ xa hay VPN của các enterprise edge cung cấp dịch vụ chống truy cập từ xa, bao gồm xác thực người dùng từ xa . Các thành phần của submodule này bao gồm:
• Firewalls: Cung cấp lệnh lọc lưu lượng, xác thực đáng tin cậy các điểm ở xa, và cung cấp kết nối bằng cách sử dụng đường hầm IPsec .
• Cisco Adaptive Security Appliances (ASA) : xác thực người dùng từ xa, cung cấp các dịch vụ tường lửa và phòng chống xâm nhập
• Thiết bị phòng chống xâm nhập mạng(IPS): Nếu sử dụng một máy chủ đầu cuối truy cập từ xa, modul này kết nối với mạng PSTN. Hệ thống mạng hiện nay thường triển khai VPN trên các máy chủ đầu cuối truy cập từ xa và được dành riêng cho các liên kết WAN. Mạng VPN giảm chi phí thông tin liên lạc bằng cách tận dụng cơ sở hạ tầng của SP. Văn phòng ở xa, người sử dụng điện thoại di động, và văn phòng gia đình truy cập Internet bằng cách sử dụng các local SP với đường hầm IPsec đến VPN /remote acces submodule thông qua Internet submodule.
2.4. Enterprise WAN
Công nghệ WAN bao gồm :
• Multiprotocol Label Switching (MPLS)
• Metro Ethernet
• Leased lines
• Synchronous Optical Network (SONET) and Synchronous Digital
• Hierarchy (SDH)
• PPP
• Frame Relay
• ATM
• Cable
• Digital subscriber line (DSL)
• Wireless
Khi thiết kế enterprise edge cần xem xét:
• Xác định các kết nối cần thiết để kết nối mạng công ty đi Internet. Module kết nối Internet thực hiện nhiệm vụ kết nối này.
• Tạo các e-commerce module cho khách hàng và đối tác truy cập Internet phục vụ kinh doanh và các ứng dụng cơ sở dữ liệu.
• Thiết kế module truy cập từ xa hay VPN cho truy cập VPN vào mạng nội bộ từ Internet. Thực hiện chính sách bảo mật và cấu hình xác thực.
Phương thức thiết kế theo module (Modular) được xem như là phương thức bổ sung cho phương thức thiết kế Hierarchical. Trong một hệ thống mạng qui mô lớn, nói chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt động và chức năng khác nhau. Việc thiết kế theo module cho một hạ tầng mạng lớn bằng việc tách biệt các vùng mạng với chức năng khác nhau, cũng đang là một phương pháp thiết kế được sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và các tổ chức lớn (gọi tắt là Enterprise).
Phương thức thiết kế Modular có thể được chia làm ba vùng chính, mỗi vùng được tạo bởi các module mạng nhỏ hơn:
– Enterprise campus: Bao gồm các module được yêu cầu để xây dựng một mạng campus đòi hỏi tính sẵn sàng cao, tính mềm dẻo và linh hoạt.
– Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tại phía rìa mạng của Enterprise. Vùng chức năng này sẽ lọc lưu lượng từ các module trong Enterprise edge và gửi chúng vào trong vùng Enterprise campus. Enterprise edge bao gồm tất cả các thành phần thiết bị để đảm bảo truyền thông hiệu quả và bảo mật giữa Enterprise campus với các hệ thống bên ngoài, các đối tác, mobile users, và mạng Internet.
– Service provider edge: Các module trong vùng này được triển khai bởi các nhà cung cấp dịch vụ, chứ không thuộc về Enterprise. Các module trong Service provider edge cho phép truyền thông với các mạng khác sử dụng các công nghệ WAN và các ISPs khác nhau.
Các thành phận mạng và chức năng trong kiến trúc chuyên biệt của Cisco:
+ Enterprise campus area
+ Enterprise data center module
+ Enterprise branch module
+ Enterprise teleworker module
Mô hình kiến trúc mạng doanh nghiệp đặc trưng của Cisco giữ nguyên các khái niệm phân phối, truy cập, các thành phần kết nối người sử dụng, dịch vụ WAN, và trạm máy chủ thông qua mạng trục tốc độ cao. Trong các mạng nhỏ hơn, các lớp có thể được tích hợp vào một lớp duy nhất, thậm chí là một thiết bị duy nhất, nhưng các chức năng vẫn không đổi.
Trong phạm vi cơ sở hạ tầng doanh nghiệp bao gồm trường lõi, xây dựng lớp phân phối và lớp truy cập, với một module trung tâm dữ liệu.Vùng biên kết nối với nhà cung cấp dịch vụ bao gồm đi Internet, thương mại điện tử, VPN, và các module WAN . Vùng biên của nhà cung cấp dịch vụ cung cấp dịch vụ đường đi Internet, mạng chuyển mạch thoại công cộng (PSTN), và dịch vụ WAN cho doanh nghiệp.
1. Enterprise Campus Module
Có các module phụ sau:
+ Campus core
+ Building Ditribution
+ Building Access
+ Server farm/data center
Trường lõi cung cấp một đường trục chuyển mạch tốc độ cao giữa các tòa nhà, các hệ thống máy chủ và các kết nối giữa các doanh nghiệp. Phân khúc này bao gồm kết nối dự phòng và hội tụ nhanh. Lớp phân phối chiu trách nhiệm chuyển mạch truy cập và kiểm soát truy cập, QoS, tuyến đường dự phòng, và cân bằng tải. Building access switches cho phép truy cập VLAN , PoE cho điện thoại IP và các điểm truy cập không dây, ngăn Broadcast và spanning tree.
Server farm/data center cho phép truy cập tốc độ cao và tính sẵn sàng cao (redundancy) đến các máy chủ. Các máy chủ doanh nghiệp như file and print servers, application servers , email servers, Dynamic Host Configuration Protocol (DHCP) servers, và Domain Name System (DNS) servers được đặt trong server farm. Cisco Unified CallManager servers được đặt trong server farm cho các mạng điện thoại IP. Máy chủ quản lý mạng được đặt tại server farm, nhưng liên kết từ máy chủ đến mỗi module trong một phạm vi doanh nghiệp phải cung cấp khả năng giám sát mạng, đăng nhập, và quản lý cấu hình.
Cơ sở hạ tầng trong phạm vi doanh nghiệp có thể áp dụng cho các địa điểm nhỏ, vừa và lớn. Trong hầu hết các trường hợp, phạm vi rộng lớn có thiết kế ba lớp với một hệ thống đấu nối ( lớp triển khai truy cập), lớp triển khai phân phối, và một lớp lõi. Phạm vi nhỏ hơn có thiết kế hai tầng với một thành phần hệ thống đấu nối (lớp truy cập Ethernet ) và một lõi chính (lớp lõi tích hợp và các lớp phân phối). Nó cũng cho phép cấu hình các chức năng phân phối trong một thiết bị đa truy cập để duy trì khả năng truyền tin nhanh trên trục chính. Mạng có kích thước vừa đôi khi thực hiện thiết kế ba lớp hoặc hai lớp tuỳ thuộc vào số lượng port, yêu cầu dịch vụ, quản lý, hiệu suất, và yêu cầu thích ứng.
2. Enterprise Edge Area
Gồm các module phụ sau:
• E-commerce networks and servers
• Internet connectivity and demilitarized zone (DMZ)
• VPN and remote access
• Enterprise WAN
2.1. E-Commerce Module
Submodule thương mại điện tử ở phần biên doanh nghiệp cung cấp mạng tính sẵn sàng cao cho dịch vụ kinh doanh. Nó sử dụng thiết kế thích nghi cao của các server farm module với đặc tính kết nối Internet của các module Internet.
Các thiết bị nằm trong submodule thương mại điện tử bao gồm:
• Máy chủ Web và ứng dụng
• Các máy chủ cơ sở dữ liệu: lưu trữ thông tin ứng dụng và thông tin giao dịch.
• Firewall and firewall routers:quản lí thông tin liên lạc giữa các user trong hệ thống.
• Hệ thống phòng chống xâm nhập mạng (IPS): Cung cấp chức năng giám sát các phân đoạn quan trọng trong các module mạng để phát hiện và ứng phó với các cuộc tấn công mạng.
• Multilayer switch with IPS modules: Cung cấp chức năng vận chuyển lưu lượng và tích hợp giám sát bảo mật.
2.2. Internet Connectivity Module
Internet Submodule ở vùng biên doanh nghiệp cung cấp các dịch vụ như máy chủ công cộng, email, và DNS. Kết nối với một hoặc một số nhà cung cấp dịch vụ Internet (ISP). Các thành phần của submodule này bao gồm:
• Firewall and firewall routers: Cung cấp chức năng bảo vệ tài nguyên mạng, lọc lưu lượng, và VPN đầu cuối cho người sử dụng và các điểm đầu xa .
• Internet edge routers: Cung cấp chức năng lọc cơ bản và kết nối đa lớp
• FTP và HTTP severs: Cung cấp các ứng dụng web giúp doanh nghiệp giao tiếp với thế giới bên ngoài thông qua Internet công cộng
• Máy chủ chuyển tiếp SMTP: Hoạt động chuyển tiếp giữa Internet và máy chủ mail nội bộ.
• Máy chủ DNS: phân giải tên miền và yêu cầu chuyển tiếp đi Internet
Hình thức kết nối đơn giản nhất là một đường kết nối trực tiếp duy nhất giữa doanh nghiệp và SP, như trong hình dưới đây. Nhược điểm của kết nối này là không có tính dự phòng khi có sự cố mạng.
Có thể sử dụng các giải pháp đa đường để dự phòng, hoặc chuyển đổi dự phòng cho dịch vụ Internet.
Hình sau cho thấy bốn tùy chọn multihoming Internet:
• Lựa chọn 1: Một bộ định tuyến đơn, hai liên kết đến một ISP
• Lựa chọn 2: Một bộ định tuyến đơn, hai liên kết đến hai ISP
• Lựa chọn 3: Hai thiết bị định tuyến, hai liên kết đến một ISP
• Lựa chọn 4: Hai thiết bị định tuyến, liên kết kép đến hai ISP
Các tùy chọn multihoming Internet
• Lựa chọn 1 :dự phòng đường kết nối, nhưng không dự phòng ISP và router nội vùng.
• Lựa chọn 2 :dự phòng đường kết nối và ISP nhưng không dự phòng router nội vùng khi xãy ra lỗi.
• Lựa chọn 3 :dự phòng các đường kết nối và router nội vùng, nhưng không dự phòng ISP khi ISP xạy ra sự cố.
• Lựa chọn 4 :cung cấp khả năng dự phòng đầy đủ các bộ định tuyến nội vùng,đường liên kết, và các ISP.
2.3. VPN/Remote Access
Module truy cập từ xa hay VPN của các enterprise edge cung cấp dịch vụ chống truy cập từ xa, bao gồm xác thực người dùng từ xa . Các thành phần của submodule này bao gồm:
• Firewalls: Cung cấp lệnh lọc lưu lượng, xác thực đáng tin cậy các điểm ở xa, và cung cấp kết nối bằng cách sử dụng đường hầm IPsec .
• Cisco Adaptive Security Appliances (ASA) : xác thực người dùng từ xa, cung cấp các dịch vụ tường lửa và phòng chống xâm nhập
• Thiết bị phòng chống xâm nhập mạng(IPS): Nếu sử dụng một máy chủ đầu cuối truy cập từ xa, modul này kết nối với mạng PSTN. Hệ thống mạng hiện nay thường triển khai VPN trên các máy chủ đầu cuối truy cập từ xa và được dành riêng cho các liên kết WAN. Mạng VPN giảm chi phí thông tin liên lạc bằng cách tận dụng cơ sở hạ tầng của SP. Văn phòng ở xa, người sử dụng điện thoại di động, và văn phòng gia đình truy cập Internet bằng cách sử dụng các local SP với đường hầm IPsec đến VPN /remote acces submodule thông qua Internet submodule.
2.4. Enterprise WAN
Công nghệ WAN bao gồm :
• Multiprotocol Label Switching (MPLS)
• Metro Ethernet
• Leased lines
• Synchronous Optical Network (SONET) and Synchronous Digital
• Hierarchy (SDH)
• PPP
• Frame Relay
• ATM
• Cable
• Digital subscriber line (DSL)
• Wireless
Khi thiết kế enterprise edge cần xem xét:
• Xác định các kết nối cần thiết để kết nối mạng công ty đi Internet. Module kết nối Internet thực hiện nhiệm vụ kết nối này.
• Tạo các e-commerce module cho khách hàng và đối tác truy cập Internet phục vụ kinh doanh và các ứng dụng cơ sở dữ liệu.
• Thiết kế module truy cập từ xa hay VPN cho truy cập VPN vào mạng nội bộ từ Internet. Thực hiện chính sách bảo mật và cấu hình xác thực.